10-5 システム監査と内部統制
令和5年度公開 問14
A社では,従業員が自宅のPCからインターネット経由で自社のネットワークに接続して仕事を行うテレワーキングの実施を計画している。A社が定めたテレワーキング運用規程について,情報セキュリティ管理基準(平成28年)に従って監査を実施した。判明した事項のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
- ア テレワーキング運用規程に従うことを条件に,全ての従業員が利用できる。
- イ テレワーキングで従業員が使用するPCは,A社から支給されたものに限定する。
- ウ テレワーキングで使用するPCへのマルウェア対策ソフト導入の要不要は,従業員それぞれが判断する。
- エ テレワーキングで使用するPCを,従業員の家族に使用させない。
解答 ウ
【頭の準備体操】
情報セキュリティ管理基準は,組織が情報資産を保護するために必要な管理策を定めたガイドライン。
- ア 〇
- イ 〇
- ウ ×。組織が規程を定め,従業員に遵守させる。指摘事項。
- エ 〇。
令和6年1月修了試験 問45
A社では,自然災害などの際の事業継続を目的として,業務システムのデータベースのバックアップを取得している。その状況について,“情報セキュリティ管理基準(平成28年)”に従って実施した監査結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
- ア バックアップ取得手順書を作成し,取得担当者を定めていた。
- イ バックアップを取得した電子記録媒体からデータベースを復旧する試験を,事前に定めたスケジュールに従って実施していた。
- ウ バックアップを取得した電子記録媒体を,機密保持を含む契約を取り交わした外部の倉庫会社に委託保管していた。
- エ バックアップを取得した電子記録媒体を,業務システムが稼働しているサーバの近くで保管していた。
解答 エ
【頭の準備体操】
情報セキュリティ管理基準は,組織が情報資産を保護するために必要な管理策を定めたガイドライン。
- ア 〇
- イ 〇
- ウ 〇
- エ ×。「バックアップ情報は,主事業所の災害による被害から免れるために,十分離れた場所に保管する。」と規定されている。指摘事項。